WordPress, la popular plataforma de blogs,  requiere que los usuarios cambien sus contraseñas de su cuenta después de que miembros del equipo de seguridad de la compañía descubrieron puertas traseras hábilmente disfrazadas en algunas de las plataformas plug-ins más populares.

AddThis, WPtouch, y W3 Total Cache llamaron la atención de los miembros del equipo después de una serie de confirmaciones sospechosas de que contenían puertas traseras (backdoors). El fundador de WordPress,  Matt Mullenweg, afirmó en un post en WordPress News que su equipo determinó que el compromiso no era generado por el usuario, y por lo tanto ellos revierten, empujado actualizaciones a los plug-ins afectados y cerrando el acceso al repositorio de plug-in mientras buscaban en la red para cualquier cosa “desagradable”.

Como medida de precaución, el servicio de blogs tiene por fuerza restablecer todas las contraseñas en la plataforma y los usuarios tendrán que restablecer su contraseña antes de acceder a foros, trac,  plug-ins ó temas comprometidos. Del mismo modo se ven afectados los usuarios de bbPress.org y BuddyPress.org. Los autores que están haciendo uso de los complementos mencionados deben visitar la página de actualizaciones y actualizar cada uno de los plug-ins para su última versión.

Mullenweg recomienda a los usuarios de no usar la misma contraseña para varios servicios, pero más concretamente dirigido al usuario para asegurarse de que no reinstale sus antiguas contraseñas de WordPress cuando se restablece (reset).

Este incidente es el primero de los reales problemas de seguridad desde abril pasado cuando Mullenweg, dijo en un blog que la compañía tenía un ” low-level(root) break-in to several of our servers”( “robo de bajo nivel (root) en varios de nuestros servidores”) “dónde” potencialmente nada en esos servidores podría haber sido revelado “.

Traduccion: Velcro

Fuente: ThreatPost

Anuncios